【安全资讯】Windows NTLM哈希泄露漏洞在针对政府的钓鱼攻击中被利用

概要：

近期，Windows系统中的NTLM哈希泄露漏洞被黑客利用，针对政府机构和私营企业发起了钓鱼攻击。这一漏洞被追踪为CVE-2025-24054，尽管在2025年3月的补丁更新中已被修复，但攻击者在补丁发布后不久便开始积极利用这一缺陷，造成了严重的安全隐患。

主要内容：

CVE-2025-24054是一个影响Windows NTLM认证协议的漏洞，该协议使用哈希而非明文密码进行用户身份验证。尽管NTLM在一定程度上提高了安全性，但由于其易受重放攻击和暴力破解的影响，微软已开始逐步淘汰这一认证方式，转而采用Kerberos或Negotiate。

Check Point的研究人员发现，攻击者通过发送包含恶意.library-ms文件的钓鱼邮件，诱使用户点击链接并下载ZIP压缩包。该.library-ms文件在被打开时会自动触发CVE-2025-24054漏洞，导致Windows尝试通过NTLM进行身份验证，从而使攻击者能够捕获用户的NTLM哈希。

在后续的攻击中，Check Point还发现黑客直接发送.library-ms文件，而无需压缩包，进一步降低了用户的警惕性。攻击者控制的SMB服务器使用特定IP地址，捕获NTLM哈希可能导致身份验证绕过和权限提升，尽管该漏洞被评估为“中等”严重性，但其潜在后果却极为严重。

因此，专家建议所有组织应及时安装2025年3月的更新，并在不需要NTLM认证的情况下关闭该功能，以降低安全风险。